Che anno è stato il 2021 per i professionisti della privacy? E quali sono le tendenze per i prossimi mesi? A tali domande offre risposta l’edizione di quest’anno del “Privacy Governance Report”, la ricerca prodotta dall’International Association of Privacy Professionals (IAPP) in collaborazione con EY e EY Law.
Si tratta di un’accurata quanto fondamentale fotografia dell’andamento della professione e del mercato della protezione dei dati personali, realizzata dalla più diffusa e autorevole organizzazione internazionale di privacy professionals, della quale chi scrive ha l’enorme privilegio di essere componente del Board of Directors e, al tempo stesso, Country Leader per l’Italia.
I nostri dati come merce: alla ricerca del difficile equilibrio tra privacy e Digital Single Market
Il rapporto
Nelle oltre cento pagine di documento sono racchiusi dati e statistiche che ogni professionista di questo settore dovrebbe conoscere e fare propri, in modo da poter contare su direttive e punti fermi in un contesto costantemente in divenire. Basti solamente pensare ad alcuni dei principali accadimenti degli ultimi mesi. La crescente escalation delle sanzioni comminate dalle autorità privacy (da ultimo, quella record della Commission Nationale pour la Protection des Données di Lussemburgo, pari a 774 milioni di Euro), così come il proliferare di nuove leggi nazionali in materia di protezione dei dati personali (un esempio su tutte, quella cinese) sono eventi decisamente dirompenti per il mercato e la professione. Resta inoltre la variabile Covid-19, che ancora condiziona ed incide profondamente questo nostro settore (come dimostra, a livello nazionale, la recentissima presa di posizione del Garante in relazione alla possibilità per i lavoratori di consegnare una copia della certificazione verde al proprio datore di lavoro).
In questo breve articolo vorrei dunque provare ad attraversare brevemente alcuni dei punti cruciali che emergono da questo report, offrendo per ciascuno di essi una personale chiave di lettura.
Aumentano i budget e la richiesta di personale
Il report IAPP evidenzia innanzitutto la costante crescita del settore sia in termini economici che di personale. Quanto al primo aspetto, la spesa media delle aziende destinata al comparto privacy nel 2021 è stata infatti pari a 873.000 dollari, con un importante aumento rispetto alle annate precedenti (nel 2020 erano 676.000, nel 2019 ci si era fermati a quota 622.000). Il risultato non cambia al mutare del parametro di riferimento, con la spesa mediana nel 2021 ad attestarsi a 350.000 dollari (rispetto ai 300.000 del 2020 e ai 200.000 del 2019). Ai dati relativi al budget – che circa sei professionisti su dieci ritengono comunque meno che sufficienti per soddisfare le esigenze dei propri team – si accompagnano quelli relativi alla domanda di personale, con il 45% delle organizzazioni intervistate che prevede di assumere almeno uno o due nuovi professionisti nei prossimi sei mesi.
Sono questi dati da accogliere con favore ed ottimismo per il prossimo futuro. La complessità e la mutevolezza di questa materia devono essere infatti affrontate con le giuste dotazioni di risorse, tanto organiche quanto economiche. Solo in questo modo l’obbligo di compliance alla normativa sulla protezione dei dati personali, oltre che correttamente adempiuto, potrà trasformarsi in un inedito quanto decisivo valore aggiunto per il raggiungimento degli obiettivi di business. Al tempo stesso, e sul fronte opposto, nuovi stanziamenti e assunzioni hanno quale presupposto indefettibile l’impegno al continuo incremento di competenze da parte dei professionisti già in forze. Questi ultimi, in particolare, non dovrebbero mai trascurare la possibilità, che spesso si manifesta nelle forme della necessità, di dirigere il proprio approfondimento anche verso discipline confinanti con la data protection (penso, ad esempio, alla cybersecurity). A tutto questo dovrebbe poi e necessariamente associarsi un approccio ai problemi non già e solamente protettivo ed ex post, ma altresì preventivo e proattivo ex ante.
Bene i rapporti diretti con i vertici societari
Quanto alle relazioni interne alle organizzazioni, la IAPP rileva che quasi la metà dei privacy leader riferisce al general counsel (30%) o al CEO (18%), mentre il 16% riferisce al Chief Compliance Officer, il 14% a un dirigente o vicepresidente, il 12% al consiglio di amministrazione e il 6% al Chief Financial Officer.
Qui non stiamo parlando di DPO, ma di funzioni privacy interne, di business.
Al di là delle differenze che emergono poi in base alle dimensioni e alla localizzazione delle aziende, il dato è di particolare interesse in quanto denota l’assoluta importanza di portare i temi legati alla protezione dei dati personali ai primi posti nelle agende di chi dirige l’azienda o ne definisce le strategie. Ciò al fine di garantire anche per tali istanze un approccio olistico, indispensabile per governare la materia.
A tal proposito, sarebbe certamente d’aiuto, tanto nel privato quanto nel pubblico, un arruolamento diretto di esperti del settore nei tavoli dei Consigli di Amministrazione, così da garantire già a monte una giusta ed efficiente valutazione, anche in termini economici, degli aspetti di volta in volta in gioco.
I dati sui DPO
Torna ad aumentare il numero dei Data Protection Officer (DPO): secondo il report della IAPP, a livello mondiale, tre aziende su quattro ne hanno nominato uno. Una percentuale (74%) che torna ai livelli del 2018 (75%), anno di entrata in piena vigenza del Regolamento Generale sulla Protezione dei Dati (GDPR), dopo che nel 2019 (72%) e nel 2020 (71%) la tendenza si era stabilizzata. Oltre ai dati sulla distribuzione dei Data Protection Officer – nelle organizzazioni con un DPO in house, sei su dieci ne hanno uno che gestisce le questioni attinenti a tutti i Paesi, mentre quattro aziende su dieci hanno nominato DPO specifici per singole country (tra i paesi per i quali è più probabile vi sia un DPO ad hoc l’Italia è al 17%) – di assoluto rilievo sono anche quelli relativi all’esternalizzazione di detta funzione.
Ben il 15% delle aziende, infatti, si affida ad un DPO in outsourcing, una percentuale che è quasi raddoppiata in un solo anno (nel 2020 era infatti l’8%).
Si tratta di metriche che rappresentano un’importante conferma per chi, come chi scrive, sostiene da tempo la centralità di questa funzione per il presente e per l’avvenire. La netta e crescente tendenza all’esternalizzazione, inoltre, è la riprova del fatto che il mercato sta apprezzando un modello di organizzazione che ha l’indubitabile vantaggio di creare una proficua sinergia tra funzione legale interna, che funga anche da privacy officer e funzione di controllo e consulenza affidata in esterna al DPO. Importante è altresì il dato relativo all’approccio per giurisdizioni, il quale – pur sempre da valutare caso per caso – permette di dar conto e di valorizzare le peculiarità normative e le prassi vigenti a livello locale.
Trending topic e compliance
Interessante è altresì dare una rapida occhiata ai temi data protection più caldi ed ai livelli di conformità al dettato normativo. Quanto al primo aspetto, il rispetto delle regole sui trasferimenti internazionali di dati si conferma il task più complesso per la maggioranza dei professionisti della privacy. I data breach sono invece il tema più riferito ai board dai team privacy. Rispetto invece ai numeri sulla compliance, e limitandosi soltanto a quelli relativi al GDPR, il 20% delle aziende si considera pienamente conforme al dettato normativo, mentre il 43% si reputa molto conforme.
Non sorprende che i trasferimenti internazionali siano oggi più che mai un argomento estremamente vivo e delicato. Avendo partecipato, nei miei anni da dirigente presso l’Autorità Garante per la protezione dei dati personali, alla gestazione di istituti ancora oggi centrali come le Binding Corporate Rules, il Safe Harbor (poi Privacy Shield) e le Standard Contractual Clauses, comprendo appieno la complessità di un tema che, a seguito alla sentenza “Schrems II”, ha assunto contorni ancora nuovi. È probabile, dunque, che nei prossimi anni le sfide in questo ambito continueranno a richiedere importanti sforzi da parte di uffici legali e consulenti esterni, i quali, nondimeno, applicando le giuste sinergie saranno in grado di reperire le soluzioni di volta in volta più confacenti alle tipicità dei singoli casi concreti, anche magari facendo ricorso allo strumento dei Codici di Condotta ai fini del trasferimento all’estero dei dati.
Covid-19 ed altro
La IAPP ci offre anche un’utile panoramica di quanto la professione ed il settore siano mutati, e di come ci si aspetta ancora cambieranno, in relazione all’attuale emergenza epidemiologica. Il report, inoltre, riporta dati di assoluto rilievo che riguardano, inter alia, le richieste di esercizio dei diritti degli interessati e l’impiego di fornitori per il trattamento di dati personali.
Come evidenziato dagli stessi compilatori del report, le funzioni ed i professionisti della privacy continuano ad essere coinvolti in un (oserei dire cruciale) processo di crescita a 360 gradi. È questa una tendenza che fa piacere registrare e rispetto alla quale non può che augurarcisi ulteriori passi in avanti.
Come Country Leader per l’Italia di IAPP e componente del Board of Directors globale, grazie anche alla ammirevole dedizione e competenza dei professionisti che compongono i KnowledgeNet Chapters di Roma e Milano nel creare eventi e relazioni di grandissimo valore, sono testimone ogni giorno delle nuove sfide che costellano questo mondo e dell’interesse crescente che aziende e professionisti vi ripongono. Un dato che rileviamo anche in sede di preparazione e successivo conseguimento delle diverse certificazioni che la IAPP propone ai suoi numerosissimi soci (si tratta del CIPP/E, del CIPM e del CIPT). Sono queste prove decisive del fatto che tanto la partecipazione ad un network di membri diffuso in tutto il mondo quanto l’accreditamento presso uno dei programmi di certificazione maggiormente specializzanti in questa materia a livello internazionale sono occasioni da cogliere per giungere preparati a ciò che il futuro della privacy è destinato a riservarci.
